在客户端浏览器的会话存储中存储openId的“id_token”是否存在安全风险?
问题描述 投票:0回答:1
身份提供者和授权端点与授权服务器位于同一服务器中:“auth-server”。
每个资源服务器中都有多个资源提供者:“res-server1,res-server2,....”
首先,从“auth-server”请求id_token,并将id_token存储在客户端浏览器的会话存储中。这只是RFC 6749中定义的“授权代码流”
来自auth-server的访问令牌只能由auth-server使用,但不能由其他res-server使用。
其次,通过“id_token”从“res-server”请求“res access token”。
第三,使用“res access token”请求“res api”。
或者只使用“id_token”作为访问令牌。
我想知道在客户端浏览器的会话存储中存储id_token存在任何安全风险,以及如何防止它。
1个回答
1
投票
投票
最大的问题是它在客户端,无论你做什么,它总是保持不安全。建议有一个中间服务器端层,用于跟踪特定客户端的ID令牌。
最新问题
- 过滤不在时间窗口DataFrame中的DataFrame事件
- 在 Entity Framework Core 中使用 [ComplexType]
- OpenLayers:WFS 响应 (GML2) 突出显示。但没有正确转换?
- 无服务器 python 错误:没有这样的文件或目录:'/tmp/_temp-sls-py-req' -> '/tmp/sls-py-req'
- 按位移位比 for 循环更“高效”吗?
- Postgresql 15、pgvector 和 Ruby on Rails 7 - 找不到 vector.control
- Ansible:如何使用不同密码的主机运行游戏?
- 如何解决Shrinker可能未能优化Java字节码
- 如何使用JSON格式备份和恢复Flutter Hive数据?
- 如何使用依赖注入(.net8)来注入两个MongoDb客户端
- 处理springboot事务中的错误
- 如何执行Spring批处理作业,可以定期从数据库读取数据
- 从列表中查找第 N 个最早(最旧)的日期,日期是部分字符串
- x86_64 主机上的 QEMU2 模拟器不支持 Avd 的 CPU 架构“arm64”
- git 从另一个具有相同头的签出分支中拉取更改
- 如何使用 Oracle Case Statement 测试不等式
- 从.iso修改index.php
- 如何在ibis memtable中设置pandas或duckdb后端?
- group by 无法正确连接两个表
- 使用vs2022/.NET 4.8对树莓派5进行SPI控制
© www.soinside.com 2019 - 2024. All rights reserved.